Dans son discours à la Culture, le président Nicolas Sarozy a pressé la Haute Autorité a lancer au plus vite les tests de filtrage des réseaux prévus par les accords Olivennes, voilà deux ans. Sur ce terrain, plusieurs documents doivent être rappelés. Tous concernent la LOPPSI, laquelle initie le blocage des sites pédopornographiques. Mais l’industrie du disque ayant plusieurs fois fait connaître son intérêt pour les avancés réalisées sur ce terrain, cela nous autorise sans risque à en faire référence.
Déluge d'études sur le filtrage et le blocage
Parmi ces documents, citons d’abord l’étude fondatrice de Christophe Espern intitulée « Principe, intérêts, limites et risques du filtrage hybride à des fins de blocage de ressources pédopornographiques ». Mentionnons ensuite la note de synthèse qui fut rédigée par Free, pour déboulonner chacune des solutions de filtrage alors en vue (DNS, IP, hybride…). N’oublions pas encore l’étude du Forum des Droits de l’Internet, qui souligne elle aussi les risques de sur ou sous blocages inhérents à chaque solution envisageable. Enfin, l’étude d’impact sur le filtrage de la Fédération Française des Télécoms qui présente un état des lieux très complet des techniques disponibles, avec leurs points noirs.
Du côté du gouvernement : le déluge laisse place au désert. C'est le vide presque absolu exception faîte d'une ébauche d'étude d'impact dans l'avant projet LOPPSI.
L'inspection du DPI
Dans la marmite des techniques disponibles, c’est celle du DPI ou Deep Paquet Inspection qui a le vent en poupe. L’interview de Jean Berbinau, ex-secrétaire général de l’ARMT, par Theinternets.fr, témoigne de son éclatante actualité. Fraichement installé dans la HADOPI, Berbinau nous invite ainsi à « regarder » l’exemple australien en ayant en tête justement cette technologie de filtrage.
DPI ? Comme le rappelle encore Theinternets, il s’agit d’un blocage par inspection de contenu. Pour en connaître les détails, on doit se replonger dans le dossier rédigé pour la Fédération Française des Télécoms (cf tableau ci-dessus tiré de ce document).
Une surveillance passive, devenue active
Le DPI consiste à centraliser le trafic au niveau d’un point du réseau, et à inspecter le contenu au niveau de l’URL ou plus en profondeur (signature de l’application, numéro de port, mots clés…). Dans ses gènes et son nom même, le DPI fut initialement calibré pour des fonctions d’exploration de données, d’écoute, de monitoring. Ni plus, ni moins. Le DPI, c’est de la surveillance passive, sans vocation de blocage, d’autant qu’Internet a naturellement été conçu pour contourner les contraintes.
L’idée d’ajouter le blocage à l’inspection est venue ensuite, presque naturellement, notamment en Chine, en Corée du Nord et en Arabie Saoudite, et bientôt en France. Selon l’architecture du FAI, il nécessite alors un boîtier de blocage au niveau de chaque point de sortie du réseau. Alors, en fonction des critères de blocage, le DPI comme un fidèle douanier, autorise ou interdit le transit des paquets vers leur adresse de destination.
Pour la FTT : « bien qu’en apparence efficace, cette technique reste contournable et surtout nécessite des investissements disproportionnés par rapport au gain d’efficacité qu’elle peut apporter ». Des coûts qui croissent avec le trafic du FAI, puisque la capacité de traitement doit être adaptée. Avec une liste de 2000 entrées à bloquer (exemple donné en matière de pédopornographie), le DPI avait été classé comme technique la plus coûteuse en matière de blocage.
La délicate adaptation du DPI en France
Séduisante sur le papier, si l’on fait abstraction de ces points noirs, la question du DPI soulève avant tout celle de sa « réplicabilité » en France. Le DPI prospère dans une configuration de collecte de trafic plutôt centralisé. Mais à des fins de filtrage ou de blocage, la technologie marche beaucoup moins bien sur un modèle décentralisé où l’IP commence pratiquement depuis l’abonné.
C’est le cas dans notre pays, avec ces réseaux de nouvelles générations, dégroupés comme ceux de Free ou de SFR. L’IP commence dès l’abonné. Si on veut pratiquer le DPI, il faut alors le faire au niveau de l’accès car très vite, les règles de routage s’appliquent avec un trafic qui s‘écoule dès le premier point venue. Un professionnel du secteur nous donne l’exemple suivant : « des abonnés de Marseille qui veulent aller faire du RapidShare, ils ne remontent pas Paris, ils sortent depuis Lyon ou depuis l'Italie. » Faire du DPI uniquement sur le cœur de réseau, ne ciblera que les abonnés parisiens. Et encore : en cas de congestion, ce trafic sera évacué par Strasbourg...
Descendre sur l'accès, remonter sur les coûts
Techniquement, il est toujours possible de descendre sur l’accès, mais cela n’est pas neutre financièrement : placé au niveau des box, il faudrait revoir l’ensemble du parc, soit des millions de matériels à jeter et remplacer. Moyennement Grenello-compatible, la mesure coûterait des sommes astronomiques. Quant aux équipements juste au-dessus, les Dslam, ils ont un principe de fonctionnement pour le moins binaire : commuter ce qui est en local, remonter tout ce qui n’est pas local. Le DPI impliquerait en conséquence des équipements spéciaux, et des investissements pour le moins colossaux : 45 000 euros par pièce, avec une volumétrie de 35 000 unités approximativement, pour le parc SFR, Orange, Free.
Des sommes à reproduire pour les équipements qui pilotent les antennes dans le monde du mobile, du moins lorsque l’IP sera au plus près de l’abonné (voir le point de vue d'un expert en sécurité).
Résultats des courses ? Les coûts d’implémentation ou de gestion vont dépasser de loin le préjudice invoqué par cette industrie, sans compter les risques techniques sur les exploitations du réseau.
Déluge d'études sur le filtrage et le blocage
Parmi ces documents, citons d’abord l’étude fondatrice de Christophe Espern intitulée « Principe, intérêts, limites et risques du filtrage hybride à des fins de blocage de ressources pédopornographiques ». Mentionnons ensuite la note de synthèse qui fut rédigée par Free, pour déboulonner chacune des solutions de filtrage alors en vue (DNS, IP, hybride…). N’oublions pas encore l’étude du Forum des Droits de l’Internet, qui souligne elle aussi les risques de sur ou sous blocages inhérents à chaque solution envisageable. Enfin, l’étude d’impact sur le filtrage de la Fédération Française des Télécoms qui présente un état des lieux très complet des techniques disponibles, avec leurs points noirs.
Du côté du gouvernement : le déluge laisse place au désert. C'est le vide presque absolu exception faîte d'une ébauche d'étude d'impact dans l'avant projet LOPPSI.
L'inspection du DPI
Dans la marmite des techniques disponibles, c’est celle du DPI ou Deep Paquet Inspection qui a le vent en poupe. L’interview de Jean Berbinau, ex-secrétaire général de l’ARMT, par Theinternets.fr, témoigne de son éclatante actualité. Fraichement installé dans la HADOPI, Berbinau nous invite ainsi à « regarder » l’exemple australien en ayant en tête justement cette technologie de filtrage.
DPI ? Comme le rappelle encore Theinternets, il s’agit d’un blocage par inspection de contenu. Pour en connaître les détails, on doit se replonger dans le dossier rédigé pour la Fédération Française des Télécoms (cf tableau ci-dessus tiré de ce document).
Une surveillance passive, devenue active
Le DPI consiste à centraliser le trafic au niveau d’un point du réseau, et à inspecter le contenu au niveau de l’URL ou plus en profondeur (signature de l’application, numéro de port, mots clés…). Dans ses gènes et son nom même, le DPI fut initialement calibré pour des fonctions d’exploration de données, d’écoute, de monitoring. Ni plus, ni moins. Le DPI, c’est de la surveillance passive, sans vocation de blocage, d’autant qu’Internet a naturellement été conçu pour contourner les contraintes.
L’idée d’ajouter le blocage à l’inspection est venue ensuite, presque naturellement, notamment en Chine, en Corée du Nord et en Arabie Saoudite, et bientôt en France. Selon l’architecture du FAI, il nécessite alors un boîtier de blocage au niveau de chaque point de sortie du réseau. Alors, en fonction des critères de blocage, le DPI comme un fidèle douanier, autorise ou interdit le transit des paquets vers leur adresse de destination.
Pour la FTT : « bien qu’en apparence efficace, cette technique reste contournable et surtout nécessite des investissements disproportionnés par rapport au gain d’efficacité qu’elle peut apporter ». Des coûts qui croissent avec le trafic du FAI, puisque la capacité de traitement doit être adaptée. Avec une liste de 2000 entrées à bloquer (exemple donné en matière de pédopornographie), le DPI avait été classé comme technique la plus coûteuse en matière de blocage.
« Dans l’hypothèse d’une liste ne dépassant pas les 2000 entrées et d’une adoption uniforme d’une même technologie de blocage par les principaux FAI (3 FAI fixe mobile, 1 FAI fixe-câble, 1 FAI fixe-DSL), le coût direct total pour le secteur sur 3 ans se décline de la manière suivante :
- Entre 100 k€ et 3 M€ respectivement pour le blocage BGP « externalisé Etat » et BGP internalisé FAI
- près de 5 M€ pour le blocage DNS
- près de 15 M€ pour le blocage hybride
- près de 140 M€ pour le blocage DPI »
De fait, sa conception même provoque des risques de latence et de congestion du réseau. Mais en plus de ces revers, les hypothèses de contournement du DPI ne sont pas rares. La Fédération listait dans un tableau : les sites miroirs, le changement d’IP plus fréquent que la mise à jour de la liste noire d’IP, le proxy https et les réseaux anonymisant chiffrés, réseaux de type TOR.
Réseaux anonymisants de type TOR
Les réseaux TOR (littéralement, The Onion Router) ont été conçus pour assurer l’anonymisation des paquets TCP. Cette technique a été imaginée pour palier aux carences des proxies existants qui ne suffisent pas toujours à garantir l’anonymat des paquets TCP. Le routage en oignon permet de faire transiter les paquets sans qu’aucune analyse de trafic ne puisse identifier l’utilisateur ou découvrir le contenu de ses paquets. Ainsi, les paquets sont chiffrés avec des clés différentes au niveau du client, autant de fois que de serveurs par lesquels ils vont transiter, à la façon des couches d’un oignon. Ensuite au cours du transit des paquets au niveau du circuit défini, chaque serveur du réseau TOR déchiffre le paquet et l’envoie au serveur suivant. Le dernier serveur déchiffre le paquet avec la clé « n » et obtient ainsi le paquet original.
L’anonymisation par réseaux TOR ne s’applique qu’aux paquets TCP (et pas UDP) mais s’accompagne d’un ralentissement important du trafic. Le service DNS utilisant le protocole de transport UDP, les réseaux TOR ne permettent pas de contourner le blocage DNS.
(extrait du rapport de la FFT)
Les réseaux TOR (littéralement, The Onion Router) ont été conçus pour assurer l’anonymisation des paquets TCP. Cette technique a été imaginée pour palier aux carences des proxies existants qui ne suffisent pas toujours à garantir l’anonymat des paquets TCP. Le routage en oignon permet de faire transiter les paquets sans qu’aucune analyse de trafic ne puisse identifier l’utilisateur ou découvrir le contenu de ses paquets. Ainsi, les paquets sont chiffrés avec des clés différentes au niveau du client, autant de fois que de serveurs par lesquels ils vont transiter, à la façon des couches d’un oignon. Ensuite au cours du transit des paquets au niveau du circuit défini, chaque serveur du réseau TOR déchiffre le paquet et l’envoie au serveur suivant. Le dernier serveur déchiffre le paquet avec la clé « n » et obtient ainsi le paquet original.
L’anonymisation par réseaux TOR ne s’applique qu’aux paquets TCP (et pas UDP) mais s’accompagne d’un ralentissement important du trafic. Le service DNS utilisant le protocole de transport UDP, les réseaux TOR ne permettent pas de contourner le blocage DNS.
(extrait du rapport de la FFT)
La délicate adaptation du DPI en France
Séduisante sur le papier, si l’on fait abstraction de ces points noirs, la question du DPI soulève avant tout celle de sa « réplicabilité » en France. Le DPI prospère dans une configuration de collecte de trafic plutôt centralisé. Mais à des fins de filtrage ou de blocage, la technologie marche beaucoup moins bien sur un modèle décentralisé où l’IP commence pratiquement depuis l’abonné.
C’est le cas dans notre pays, avec ces réseaux de nouvelles générations, dégroupés comme ceux de Free ou de SFR. L’IP commence dès l’abonné. Si on veut pratiquer le DPI, il faut alors le faire au niveau de l’accès car très vite, les règles de routage s’appliquent avec un trafic qui s‘écoule dès le premier point venue. Un professionnel du secteur nous donne l’exemple suivant : « des abonnés de Marseille qui veulent aller faire du RapidShare, ils ne remontent pas Paris, ils sortent depuis Lyon ou depuis l'Italie. » Faire du DPI uniquement sur le cœur de réseau, ne ciblera que les abonnés parisiens. Et encore : en cas de congestion, ce trafic sera évacué par Strasbourg...
Descendre sur l'accès, remonter sur les coûts
Techniquement, il est toujours possible de descendre sur l’accès, mais cela n’est pas neutre financièrement : placé au niveau des box, il faudrait revoir l’ensemble du parc, soit des millions de matériels à jeter et remplacer. Moyennement Grenello-compatible, la mesure coûterait des sommes astronomiques. Quant aux équipements juste au-dessus, les Dslam, ils ont un principe de fonctionnement pour le moins binaire : commuter ce qui est en local, remonter tout ce qui n’est pas local. Le DPI impliquerait en conséquence des équipements spéciaux, et des investissements pour le moins colossaux : 45 000 euros par pièce, avec une volumétrie de 35 000 unités approximativement, pour le parc SFR, Orange, Free.
Des sommes à reproduire pour les équipements qui pilotent les antennes dans le monde du mobile, du moins lorsque l’IP sera au plus près de l’abonné (voir le point de vue d'un expert en sécurité).
Résultats des courses ? Les coûts d’implémentation ou de gestion vont dépasser de loin le préjudice invoqué par cette industrie, sans compter les risques techniques sur les exploitations du réseau.
